Bevezetés a Key Vault-tanúsítványok használatába

Az alábbi forgatókönyvek Key Vault tanúsítványkezelési szolgáltatásának számos elsődleges használatát ismertetik, beleértve az első tanúsítvány kulcstartóban való létrehozásához szükséges további lépéseket is.

A következők a következők:

• Az első Key Vault tanúsítvány létrehozása
• Tanúsítvány létrehozása olyan hitelesítésszolgáltatóval, amely Key Vault
• Tanúsítvány létrehozása olyan hitelesítésszolgáltatóval, amely nem Key Vault
• Tanúsítvány importálása

A tanúsítványok összetett objektumok

A tanúsítványok három, egymáshoz kapcsolódó erőforrásból állnak, amelyek Key Vault tanúsítványként vannak összekapcsolva; a tanúsítvány metaadataiból, egy kulcsból és egy titkos kódból.

Az első Key Vault tanúsítvány létrehozása

Ahhoz, hogy tanúsítványt lehessen létrehozni egy Key Vault (KV-ban), az 1. és a 2. előfeltételt sikeresen el kell végezni, és egy kulcstartónak kell léteznie ehhez a felhasználóhoz/szervezethez.

1. lépés: Hitelesítésszolgáltatói (CA-) szolgáltatók

• Az informatikai Rendszergazda, a PKI Rendszergazda vagy egy adott vállalat (pl. Contoso) fiókkezelése előfeltétele a Key Vault tanúsítványok használatának.
  Az alábbi hitelesítésszolgáltatók a Key Vault jelenleg partnerként szereplő szolgáltatók. További információt itt talál
  • DigiCert – Key Vault OV TLS/SSL-tanúsítványokat kínál a DigiCerttel.
  • GlobalSign – Key Vault OV TLS-/SSL-tanúsítványokat kínál a GlobalSign használatával.

2. lépés: A hitelesítésszolgáltató fiókadminisztrátora olyan hitelesítő adatokat hoz létre, amelyeket a Key Vault használ a TLS/SSL-tanúsítványok Key Vault keresztüli regisztrálásához, megújításához és használatához.

3a. lépés: A Contoso rendszergazdája és egy Contoso-alkalmazott (Key Vault felhasználó), aki a hitelesítésszolgáltatótól függően rendelkezik tanúsítvánnyal, tanúsítványt kérhet le a rendszergazdától vagy közvetlenül a hitelesítésszolgáltatónál lévő fiókból.

• Egy tanúsítványkibocsátó erőforrás beállításával kezdje el a hitelesítőadat-műveletet egy kulcstartóhoz. A tanúsítványkibocsátó az Azure Key Vault (KV) Tanúsítvány-kiállítói erőforrásként képviselt entitás. A KV-tanúsítvány forrásával kapcsolatos információk megadására szolgál; kiállító neve, szolgáltató, hitelesítő adatok és egyéb rendszergazdai adatok.

  • Pl. MyDigiCertIssuer

    • Szolgáltató
    • Hitelesítő adatok – hitelesítésszolgáltatói fiók hitelesítő adatai. Minden hitelesítésszolgáltató saját konkrét adatokkal rendelkezik.

    A hitelesítésszolgáltatói fiókokkal való létrehozásáról további információt a Key Vault blog kapcsolódó bejegyzésében talál.

3b. lépés:Tanúsítványpartnerek beállítása értesítésekhez. Ez az Key Vault felhasználó névjegye. Key Vault nem kényszeríti ezt a lépést.

Megjegyzés – Ez a folyamat a 3b. lépésen keresztül egyszeri művelet.

Tanúsítvány létrehozása egy Key Vault partnerrel rendelkező hitelesítésszolgáltatóval

4. lépés: Az alábbi leírások az előző ábrán szereplő zöld számozott lépéseknek felelnek meg.
(1) – A fenti ábrán az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcsnak a kulcstartóban való létrehozásával kezdődik.
(2) – Key Vault TLS-/SSL-tanúsítványkérelmet küld a hitelesítésszolgáltatónak.
(3) – Az alkalmazás hurokban és várakozási folyamattal kérdezi le a Key Vault a tanúsítványkiegészítéshez. A tanúsítvány létrehozása akkor ér véget, amikor a kulcstartó megkapja a CA válaszát az X.509-tanúsítvánnyal.
(4) – A hitelesítésszolgáltató x509 TLS/SSL-tanúsítvánnyal válaszol Key Vault TLS/SSL-tanúsítványkérésére.
(5) – Az új tanúsítvány létrehozása a hitelesítésszolgáltató X509-tanúsítványának összevonásával fejeződik be.

Key Vault felhasználó – tanúsítványt hoz létre egy szabályzat megadásával

• Szükség szerint ismételje meg a műveletet

• Szabályzatkorlátozások

  • X509-tulajdonságok
  • Fő tulajdonságok
  • Szolgáltatói referencia – > pl. MyDigiCertIssure
  • Megújítási információk – > pl. 90 nappal a lejárat előtt

• A tanúsítványlétrehozási folyamat általában aszinkron folyamat, és magában foglalja a kulcstartó lekérdezését a tanúsítványlétrehozási művelet állapotához.
  Tanúsítványművelet lekérése

  • Állapot: befejeződött, hibainformációval meghiúsult, vagy megszakítva
  • A létrehozási késleltetés miatt megszakítási műveletet lehet kezdeményezni. A lemondás lehet, hogy nem érvényes.

Integrált hitelesítésszolgáltatóhoz társított hálózati biztonsági és hozzáférési szabályzatok

Key Vault szolgáltatás kéréseket küld a hitelesítésszolgáltatónak (kimenő forgalom). Ezért teljes mértékben kompatibilis a tűzfallal engedélyezett kulcstartókkal. A Key Vault nem oszt meg hozzáférési szabályzatokat a hitelesítésszolgáltatóval. A hitelesítésszolgáltatót úgy kell konfigurálni, hogy egymástól függetlenül fogadja el az aláírási kéréseket. Útmutató a megbízható hitelesítésszolgáltató integrálásához

Tanúsítvány importálása

Másik lehetőségként – a tanúsítvány importálható a Key Vault – PFX vagy PEM fájlba.

Tanúsítvány importálása – megköveteli, hogy egy PEM vagy PFX lemezen legyen, és titkos kulccsal rendelkezzen.

• Meg kell adnia a tároló nevét és a tanúsítvány nevét (a szabályzat nem kötelező)

• A PEM/PFX-fájlok olyan attribútumokat tartalmaznak, amelyeket a KV elemezhet és használhat a tanúsítványházirend feltöltéséhez. Ha már meg van adva tanúsítványházirend, a KV megpróbálja egyeztetni a PFX/PEM fájlból származó adatokat.

• Az importálás véglegesítése után a további műveletek az új szabályzatot (új verziókat) fogják használni.

• Ha nincsenek további műveletek, a Key Vault első lépése a lejárati értesítés küldése.

• Emellett a felhasználó szerkesztheti a házirendet is, amely az importáláskor működik, de olyan alapértelmezett értékeket tartalmaz, amelyekben nem volt megadva információ az importáláskor. Például nincs kiállítói információ

Támogatott importálási formátumok

Az Azure Key Vault támogatja a .pem és a .pfx tanúsítványfájlokat a Tanúsítványok Key Vaultba való importálásához. A PEM-fájlformátumhoz az alábbi importálási típust támogatjuk. Egyetlen PEM kódolású tanúsítvány és egy PKCS#8 kódolású, titkosítatlan kulcs, amely a következő formátumú:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

A tanúsítvány importálásakor gondoskodnia kell arról, hogy a kulcs szerepeljen magában a fájlban. Ha a titkos kulcsot külön,más formátumban használja, akkor a kulcsot a tanúsítvánnyal kell kombinálnia. Egyes hitelesítésszolgáltatók különböző formátumú tanúsítványokat biztosítanak, ezért a tanúsítvány importálása előtt győződjön meg arról, hogy .pem vagy .pfx formátumúak.

Megjegyzés

Győződjön meg arról, hogy nincs más metaadat a tanúsítványfájlban, és hogy a titkos kulcs nem titkosítottként jelenik meg.

A CSR által támogatott egyesítési formátumok

Az AKV 2 PEM-alapú formátumot támogat. Egyesíthet egyetlen PKCS#8 kódolású tanúsítványt vagy egy base64 kódolású P7B-t (hitelesítésszolgáltató által aláírt tanúsítványláncot). Ha el kell fednie a P7B formátumát a támogatott formátumhoz, használhatja a certutil -encode parancsot.

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Tanúsítvány létrehozása olyan hitelesítésszolgáltatóval, amely nem Key Vault

Ez a módszer lehetővé teszi a Key Vault partnerszolgáltatóitól eltérő hitelesítésszolgáltatókkal való munkát, ami azt jelenti, hogy a szervezet egy tetszőleges hitelesítésszolgáltatóval dolgozhat.

A következő lépésleírások az előző diagram zöld betűs lépéseinek felelnek meg.

(1) – A fenti ábrán az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcsnak a kulcstartóban való létrehozásával kezdődik.

(2) – Key Vault visszatér az alkalmazáshoz egy tanúsítvány-aláírási kérelem (CSR).

(3) – Az alkalmazás átadja a CSR-t a kiválasztott hitelesítésszolgáltatónak.

(4) – A kiválasztott hitelesítésszolgáltató X509-tanúsítvánnyal válaszol.

(5) – Az alkalmazás befejezi az új tanúsítvány létrehozását az X509-tanúsítványnak a hitelesítésszolgáltatótól való egyesítésével.